Согласно отчёту
ИБ-компании ThreatFabric — это компания, которая специализируется на исследовании и анализе мобильной безопасности. Они используют свои знания и инструменты, чтобы помочь клиентам защититься от угроз и атак.
Компания выпускает информационные отчеты об угрозах, способных повлиять на мобильные устройства, и предоставляет готовые решения для защиты от этих угроз.
» data-html=»true» data-original-title=»ThreatFabric»>ThreatFabric, в дикой природе появился новый вариант банковского трояна для Android под названием Xenomorph.
Обновленная версия, названная «Xenomorph 3rd generation» компанией Hadoken Security Group, получила новые функции, в том числе улучшенный механизм выполнения на основе службы специальных возможностей Android, который используется хакерами для реализации автоматизированной службы передачи (Automatic Transfer System (ATS) — это система автоматической передачи данных, которая используется в банковской сфере для перевода денежных средств. В случае банковского мошенничества, эта система может использоваться для несанкционированных трансферов средств или вывода денежных средств без запроса владельца счета.
» data-html=»true» data-original-title=»ATS»>ATS).
Впервые о Xenomorph стало известно в феврале 2022 года. Он был нацелен на 56 европейских банков, используя приложения-дропперы, которые были опубликованы в магазине Google Play. Последняя итерация Xenomorph предназначена для более 400 банковских и финансовых учреждений, включая несколько криптовалютных кошельков. По словам ThreatFabric, обнаруженные образцы распространяются через сеть доставки контента Discord (CDN).
«Xenomorph v3 развертывается с помощью приложения-дроппера Zombinder, имитирующего конвертер валют, который загружает в качестве обновления приложение, выдающее себя за Google Play Protect (Google Play Защита). Приложения Zombinder разработаны с использованием сервиса Google Bound.
Влияние обнаруженной кампании расширяется от европейских компаний до бельгийских и канадских финансовых организаций.
Xenomorph, как и любой банковский троян, злоупотребляет службой специальных возможностей Android (Accessibility Service) для проведения оверлей-атак (Overlay attack). Троян также может автоматически завершать мошеннические транзакции на зараженных устройствах — метод, называемый автоматизированной службой передачи (Automated Transfer Systems, ATS).
Поскольку банки переходят от SMS для двухфакторной аутентификации (2FA, или двухфакторная аутентификация, — это метод дополнительной защиты аккаунта, который помимо пароля требует ввод дополнительного кода или подтверждения при входе. Это может быть код, отправленный на мобильный телефон или электронную почту, или код, полученный с помощью мобильного приложения-аутентификатора. Это добавляет дополнительный слой безопасности, поскольку для входа нужно иметь не только пароль, но и устройство или доступ к электронной почте или мобильному телефону.
Метод позволяет защитить аккаунт от несанкционированного доступа, даже если кто-то узнает ваш пароль.
